Apple, kritik bir sıfır günü olan CVE-2025-43300’ü ele almak için tüm ekosisteminde acil güvenlik güncellemeleri yayınladı. Sofistike hedefli saldırılarda aktif olarak sömürülen Imageio çerçevesindeki güvenlik açığı.
Bu yedinci sıfır günü temsil eder Apple’ın 2025’te yamaladığı güvenlik açığı, iOS ve macOS cihazlarına karşı kalıcı ve artan tehdit manzarasının altını çizdi.
Güvenlik açığının, 11 Eylül 2025 tarihli bir iyileştirme son tarihine sahip CISA’nın bilinen sömürülen güvenlik açıkları (KEV) kataloğuna eklenmesi, kuruluşlara ve bireysel kullanıcılara ortaya koyduğu acil operasyonel riski vurgulamaktadır.
Güvenlik açığı Sömürme Mekanik
CVE-2025-43300, Apple’ın Imageio çerçevesini etkileyen, özellikle Adobe DNG (dijital negatif) dosyaları için JPEG kayıpsız kod çözme mantığını hedefleyen sınır dışı bir yazma açığıdır.
Güvenlik açığı, TIFF alt dizinlerindeki meta veri bildirimleri ile JPEG SOF3 (Çerçeve 3’ün başlangıcı) belirteçlerindeki gerçek bileşen sayısı arasındaki kritik bir tutarsızlıktan kaynaklanmaktadır.
İstismar mekanizması, tehlikeli bir meta veri uyumsuzluğu oluşturmak için meşru bir DNG dosyasındaki sadece iki baytın manipüle edilmesini içerir.
Güvenlik araştırmacıları, 0x2FD00 ofsetinde TIFF subifd’de 1’den 2’ye örnek olarak değiştirerek, SOF3 bileşen sayısını 0x3E40B ofsetinde 2’den 1’e değiştirerek, saldırganların görüntü işleme sırasında bellek bozulmasını tetikleyebileceğini gösterdiler.
Apple’ın DNG kod çözücüsü bu kötü biçimlendirilmiş dosyayı işlediğinde, numuneleri numuneperpiksel meta verilerine (2 bileşen beklemek) dayalı olarak tahsis eder, ancak verileri SOF3 bileşen sayısına (sadece 1 bileşen) göre işler, bu da keyfi kod yürütmeyi sağlayan bir yığın arabelleği taşmasına neden olur.
Bu sıfır tıkanma sömürüsü, cihaz iMessage, e-posta ekleri, hava damlası transferleri veya web içeriği yoluyla kötü amaçlı görüntüyü işlediğinde otomatik olarak gerçekleşir.
Saldırı Sofistike ve Uygulamaya Saldırın
Apple’ın saldırıları “son derece sofistike” olarak nitelendirmesi, “belirli bireyleri” hedefleyen, gelişmiş tehdit aktörlerinin önemli teknik yeteneklere sahip olduğunu gösterir.
Güvenlik açığının sömürülmesi, hem Imageio Framework hem de DNG dosya formatı spesifikasyonlarının derin bir şekilde anlaşılmasını gerektirir, bu da saldırganların kapsamlı ters mühendislik uzmanlığına ve kaynaklarına sahip olduklarını düşündürmektedir.
Güvenlik Araştırmacısı B1N4R1B01 tarafından yayınlanan kavram kanıtı kodu, istismarın tekrarlanabilirliğini gösterir ve hafıza yolsuzluğunun Apple’ın RawCamera.Bundle bileşeninde nasıl ortaya çıktığını gösterir.
Zarif fedai gibi algılama araçları, TIFF meta verileri ve JPEG akış parametreleri arasındaki tutarlılığı doğrulayarak sömürü girişimlerini tanımlamak için geliştirilmiştir.
İOS güvenlik açıklarının tarihsel bağlamı
Açık ticari casus yazılım ilişkilendirmesine sahip önceki iOS sıfır tıkalı istismarların aksine, CVE-2025-43300 önemli atıf zorlukları sunar.
Apple, saldıran gruplar veya hedefli kurbanlar hakkında özel ayrıntılar sağlamadı ve tehdit aktörlerinin kimliği ve motivasyonları hakkında kamuoyu anlayışını sınırladı.
Bu, NSO Group’un Pegasus casus yazılım işlemleriyle kesin olarak bağlantılı olan Blastpass ve Maldenry gibi iyi belgelenmiş kampanyalarla keskin bir tezat oluşturuyor.
Saldırının sofistike doğası, yüksek hedefli konuşlandırma ile birleştiğinde, ulus-devlet aktörlerinin veya ileri ticari casus yazılım geliştiricilerinin katılımını önermektedir.
Bununla birlikte, somut atıf kanıtlarının olmaması, güvenlik profesyonelleri için tehdit peyzaj değerlendirmesini ve savunma planlamasını zorlaştırmaktadır.
İOS sıfır tıkalı saldırılarının tarihsel ilerlemesi, Apple’ın güvenlik iyileştirmeleri ve düşman yetenekleri arasında artan bir silah yarışı ortaya koyuyor.
Operasyon Üçgenlemesi (2019-2023), Apple’ın A12-A16 işlemcilerindeki belgesiz donanım özelliklerinden yararlanarak benzeri görülmemiş teknik karmaşıklık göstererek, “Apple ve Chip Tedarikçilerin dışında çok azı” nın sahip olabileceği, çip mimarisi hakkında samimi bilgi gerektiriyordu.
NSO Group’un zorunlu istismar, iOS belleğinde bir “sanal bilgisayar” oluşturmak için JBIG2 BitMap işlemlerini kullanarak dikkate değer bir yenilik sergiledi ve Apple’ın blastdoor korumalarını atlamak için mantıksal kapılar ve hesaplama devreleri oluşturdu.
Google Project Zero tarafından “şimdiye kadar gördüğümüz en teknik olarak sofistike istismarlardan biri” olarak tanımlanan bu teknik, ulus-devlet operasyonlarına rakip olan ticari casus yazılım özelliklerini yükseltti.
Blastpass ayrıca, parola ekleri aracılığıyla WebP görüntü güvenlik açıklarından yararlanarak sıfır tıkaç saldırılarının evrimini göstererek, gözetim işlemleri için kritik olan sıfır etkileşim gereksinimini korurken Apple’ın güvenlik iyileştirmelerini atlattı.
Ticari casus yazılım ve ulus-devlet bağlantıları
NSO Group kendini baskın ticari casus yazılım sağlayıcısı olarak kurdu ve Pegasus dünya çapında 40 ülkede en az 60 devlet kurumuna konuşlandırıldı.
İsrail şirketinin iş modeli, Pegasus İsrail yasası uyarınca bir silah olarak sınıflandırıldığından, tüm ihracat için devlet onayını gerektiriyor. Bu düzenleyici çerçeve, NSO’nun yetkili hükümet müşterilerine seçici olarak gelişmiş gözetim yetenekleri sağladığı kontrollü bir pazar yaratır.
Son yasal gelişmeler, NSO’nun faaliyetlerini önemli ölçüde etkiledi ve ABD federal mahkemesi şirketi Whatsapp’ın davasında bilgisayar sahtekarlığı ve istismar yasasını ihlal etmekten sorumlu buldu.
Bu karar, herhangi bir ticari casus yazılım şirketinin ilk kez ABD mahkemelerinde sorumlu tutulduğunu ve potansiyel olarak gözetim teknolojisi satıcılarına karşı gelecekteki davalar için emsal teşkil ettiğini temsil ediyor.
NSO Group’un Pegasus platformu, 2016’da kullanıcı etkileşiminden (tıklama tabanlı istismarlar) 2020 yılına kadar sofistike sıfır tıklama özelliklerine kadar gelişti.
Casus yazılımların teknik özellikleri, mesajların, çağrıların, fotoğrafların, konum verilerinin ve gerçek zamanlı mikrofon/kamera erişiminin toplanmasını sağlayan kapsamlı cihaz uzlaşmasını içerir.
Pegasus kampanyalarındaki hedefleme kalıpları, gazeteciler, insan hakları aktivistleri, siyasi muhalifler ve hükümet yetkilileri de dahil olmak üzere yüksek değerli bireylere tutarlı bir odaklanmaktadır.
Bu hedefleme metodolojisi, CVE-2025-43300 “belirli hedefli kişiler” a karşı bildirilen kullanımla uyumludur ve gelişmiş tehdit aktörleri arasında benzer operasyonel öncelikler önermektedir.
Güvenlik Önerileri
Kuruluşlar ve bireyler, tüm Apple cihazlarında derhal yamaya öncelik vermelidir. IOS 18.6.2, iPados 18.6.2 ve ilgili macOS sürümlerine.
Güvenlik açığının onaylanmış aktif sömürüsü, özellikle gazetecilik, aktivizm ve devlet sektörlerindeki yüksek riskli kullanıcılar için, standart yama yönetimi zaman çizelgelerinin ötesinde aciliyeti yükseltir.
Apple’ın kilitleme modu, cihaz işlevselliğini önemli ölçüde kısıtlamasına rağmen, sofistike sıfır tıkaç saldırılarına karşı ek koruma sağlar. Yüksek tehdit seviyelerine bakan kullanıcılar için, bu özelliğin sağlanması, kullanıcı deneyimi pahasına gelişmiş güvenlik sunar.
Ticari casus yazılımlar ve ulus devlet aktörlerinden gelen sürekli tehdit, geleneksel güvenlik açığı yönetiminin ötesine uzanan uyarlanabilir savunma stratejileri gerektirir.
Kuruluşlar, görüntü işleme anomalileri için gelişmiş izleme uygulamalı, gelişmiş uç nokta algılama ve yanıt (EDR) çözümlerini dağıtmalı ve mobil cihaz sömürüsüne odaklanan mevcut tehdit istihbarat yayınlarını korumalıdır.
Proaktif tehdit avı, sıfır-tıkaç saldırılarının gizli özellikleri göz önüne alındığında, güvenlik ekiplerinin geleneksel güvenlik araçlarının kötü niyetli etkinlikleri tespit etmesinden önce uzlaşmayı ortaya çıkarabilecek cihaz davranış kalıplarını, ağ iletişimlerini ve sistem bütünlüğü göstergelerini analiz etmesini gerektirir.
CVE-2025-43300, sofistike düşmanların kalıcı gözetim yetenekleri elde etmek için karmaşık teknik güvenlik açıklarından yararlandığı mobil cihaz tehditlerinin sürekli evrimini örneklendirir.
Güvenlik açığının teknik karmaşıklığı, ticari casus yazılımların ve ulus devlet siber operasyonlarının daha geniş manzarasına entegrasyonu ile birleştiğinde, hem teknik güvenlik açıklarını hem de operasyonel tehdit modellerini ele alan kapsamlı mobil güvenlik stratejilerinin kritik öneminin altını çizmektedir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.